L’app di comunicazione Segnale di telemessage, usato da Almeno un alto funzionario dell’amministrazione Trump per archiviare i messaggi, secondo quanto riferito ha già subito violazioni che illustrano sui difetti di sicurezza e hanno portato alla sua società madre imporre una pausa di servizio Questa settimana in attesa di indagine. Ora, secondo Nuovi risultati dettagliati Dal giornalista e ricercatore di sicurezza Micah Lee, la funzione di archiviazione di TM Sign sembra minare fondamentalmente le garanzie di sicurezza di punta di Sign, inviando messaggi tra l’app e l’archivio dei messaggi di un utente senza crittografia end-to-end, rendendo così le comunicazioni degli utenti accessibili a Telemessage.
Lee ha condotto un’analisi dettagliata del codice sorgente Android di TM Sign per valutare la progettazione e la sicurezza dell’app. In collaborazione con 404 Media, aveva precedentemente riportato Su un hack di TM Sign durante il high-quality settimana, che ha rivelato alcuni messaggi utente e altri dati: un chiaro segno che almeno alcuni dati venivano inviati non crittografati o come testo in chiaro, almeno alcune volte all’interno del servizio. Questo da solo sembrerebbe contraddire il advertising and marketing di Telemessage afferma che TM Sign offre “crittografia end-to-end dal telefono cellulare fino all’archivio aziendale”. Ma Lee afferma che i suoi ultimi risultati mostrano che TM Sign non è crittografato end-to-end e che la società potrebbe accedere al contenuto delle chat degli utenti.
“Il fatto che ci siano registri in chiaro conferma la mia ipotesi”, cube Lee a Wired. “Il fatto che il server di archivio fosse così banale per qualcuno da hackerare, e che il segnale TM avesse un’incredibile mancanza di sicurezza di base, period peggio di quanto mi aspettassi.”
Telemessage è una società israeliana che ha completato l’acquisizione lo scorso anno dalla società di archiviazione delle comunicazioni digitali statunitensi Smarsh. Telemessage è un appaltatore federale, ma le app di consumo che offre sono non approvato per l’uso nell’ambito del programma federale del rischio e dell’autorizzazione del governo degli Stati Uniti o Fedramp.
Smarsh non ha restituito le richieste di Wired di commenti sui risultati di Lee. La società ha dichiarato lunedì: “Telemessage sta indagando su un potenziale incidente di sicurezza. Al momento del rilevamento, abbiamo agito rapidamente per contenerlo e abbiamo coinvolto una società esterna di sicurezza informatica per sostenere le nostre indagini”.
I risultati di Lee sono probabilmente significativi per tutti gli utenti di Telemessage, ma hanno un significato particolare dato che il segnale TM è stato utilizzato dal consigliere per la sicurezza nazionale ormai formato del presidente Donald Trump Mike Waltz. È stato fotografato la scorsa settimana usando il servizio durante una riunione del gabinetto e la foto sembrava dimostrare che stava comunicando con altri funzionari di alto rango, tra cui il vicepresidente JD Vance, il direttore degli Stati Uniti Tulsi Gabbard e quello che sembra essere il segretario di Stato US Marco Rubio. Il segnale TM è compatibile con il segnale e esporrebbe i messaggi inviati in una chat con qualcuno che utilizza il segnale TM, se tutti i partecipanti lo stanno usando o alcuni stanno usando l’app di segnale autentico.
Lee ha scoperto che TM Sign è progettato per salvare i dati di comunicazione del segnale in un database locale sul dispositivo di un utente e quindi inviarlo a un server di archivio per la conservazione a lungo termine. I messaggi, cube, vengono inviati direttamente al server di archivio, apparentemente come registri di chat in chiaro nei casi esaminati da Lee. Condurre l’analisi, afferma, “ha confermato che il server di archivio ha accesso ai registri delle chat in chiaro”.
I dati prelevati dal server dell’archivio Telemessage nell’hack includevano registri di chat, nomi utente e password in chiaro e persino chiavi di crittografia privata.
In a lettera Martedì, il senatore degli Stati Uniti Ron Wyden ha chiesto al Dipartimento di Giustizia di indagare sulla telemessa, sostenendo che è “una grave minaccia per la sicurezza nazionale degli Stati Uniti”.
“Le agenzie governative che hanno adottato Telemessage Archiver hanno scelto la peggiore opzione possibile”, ha scritto Wyden. “Hanno dato ai loro utenti qualcosa che sembra e sembra un segnale, l’app di comunicazione sicura più ampiamente affidabile. Ma invece, alti funzionari del governo sono stati forniti un knockoff del segnale scadente che pone una serie di gravi minacce di sicurezza e controspionaggio. La minaccia per la sicurezza posta dall’archivitore Telemessage non è teorica.”
